Siber saldırı gerçeğini kabullenin

Yatırımcılar özellikle müşteri verileri ve mahremiyeti konularındaki risklerden endişe ediyorlar. İş süreçlerinin giderek artan bir hızla kurum dışına taşınması ve tedarik zincirleri ile dağıtım kanallarının büyümesi üçüncü taraf risklerini doğal olarak büyütüyor.

Sayısallaşmanın ticaret ve ekonominin kurallarını yeniden yazdığına şüphe yok ve bu konuda yatırım yapan şirketler rekabette öne geçmek için çok önemli avantajlar sağlıyor. Tabii bütün bu fırsatların oluşmasını sağlayan bir numaralı etken ise birçok paydaş arasında giderek artan hızda ve miktardaki veri iletişimi.
Maalesef her fırsat gibi sayısallaşma da kendi riskleri ile beraber geliyor. İşletmelerin tüm ilgili aktivitelerinde siber güvenlik kavramını göz önüne almalarının gerekliliği ise tartışılmaz bir gerçek. Bu makalede bir işletmenin kendini ve müşterilerini koruması için bilinmesi gereken en önemli konu başlıklarından bazılarına değineceğim.

Siber güvenlik yatırımcılar ve müşterilerin en çok önem verdiği konulardan birisi
PwC’nin 2013 yılında yaptığı “Yatırımcının gözüyle: Risk ve yönetişim yaklaşımları” başlıklı araştırmanın sonuçlarına göre, yatırımcılar özellikle müşteri verileri ve mahremiyeti konularındaki risklerden endişe ediyorlar. İş süreçlerinin giderek artan bir hızla kurum dışına taşınması (outsourcing) ve tedarik zincirleri ile dağıtım kanallarının büyümesi üçüncü taraf risklerini doğal olarak büyütüyor. Özel müşteri bilgileri veya gizli rekabet bilgileri ifşa olan kurumlar sadece kamuoyunun güvenini kaybetmiyor, itibar ve kârlılıkları da düşüyor. Özetle; artık yatırımcılar ve müşteriler kurumların siber riskleri nasıl kontrol ettiklerini ve yönetim kurullarının bu konuya nasıl yaklaştıklarını bilmek ve bu kontroller ile yaklaşımlara güven duymak istiyor.
Güvenlik ihlallerinin oluşması ihtimali değil, ne zaman oluşacağı değerlendirilmeli
PwC’nin en son “Bilgi Güvenliği İhlalleri” araştırması büyük kurumların yüzde 93’ünün geçen sene içinde en az bir saldırıya uğradığını ve 25 bin dolardan başlayıp 500 bin doları aşan zararlara uğradığını gösteriyor. Bu bilgiler ışığında tüm kurumlar ve şirketler bir gün güvenlik ihlali yaşayacaklarını kabullenmek zorundalar. Olası bir siber saldırı durumunda bu saldırıya rağmen iş sürekliliğinin sağlanması ve ilgili kriz yönetim planlarının mevcudiyeti ise kurumlar için hayati önem taşımakta.
Taşınabilir cihazların yaygınlığı kurumların cihazlar üzerindeki kontrolünü çok zorlaştırdı ve kişisel ve kurumsal bilgilerin beraber taşındığı bu cihazlar kurumların güvenliğe yeni bir bakış açısıyla yaklaşması zorunluluğunu getiriyor. Bu bağlamda ancak bir gün kendilerinin de ciddi bir saldırıya uğrayacağını kabullenip, insan, süreç ve teknoloji yaklaşımlarını bu yeni bakış açısıyla güncelleyen kurumlar olası saldırıları en az hasarla atlatabilecekler.

Bilgi güvenliği farkındalığı kurumların en tepesinden başlamalı
Yönetim kurulu üyeleri, genel müdürler ve genel müdür yardımcıları kurumun en önemli risklerini anlamak konusunda en doğru konumdaki kişiler ve ekiplerini mevcut riskleri nasıl tespit edip yönettikleri konusunda sorgulamaları gerekli. Kurum verileri paylaşılarak hizmet alınan tedarikçilerin nasıl seçildiği, yönetildiği ve izlendiği de yönetimlere raporlanması gereken konular arasında yer almalı.
Tutarlı bir bilgi güvenliği süreci oluşturup, bu sürecin sürdürülebilirliğini sağlamak, ancak çalışanların tamamının katılımı ile sağlanabilir ve kurum hiyerarşisinin her basamağında bilgi güvenliği farkındalığı kurumun iş yapma kültürünün bir parçası haline gelmeli.

Güvenlik süreçleri çalışan riskini hesaba katmalı
“Edward Snowden” olayı insan faktörünün siber güvenlikteki en büyük risk olduğunu bir kez daha hatırlattı. Hemen hemen bütün büyük güvenlik ihlalleri bir insan hatası ya da ihmale bağlanabilir. Bu sorunun çözümüne başlamak için en iyi yöntemlerden birisi ise bilgi sahipliği ve sorumlulukların belirlenmesi ve çalışanların en iyi uygulamaları takip etmesini sağlamaktır.
Modern siber saldırı tekniklerinin hemen hepsi ihmalkar ya da kötü niyetli çalışan bileşenini kullanıyor. PwC’nin en son “Global Ekonomik Suç” anketi sonuçlarına göre çalışanlar tarafından gerçekleştirilen dolandırıcılık olaylarının oranı yüzde 41’e çıkmış durumda. Diğer yandan, raporlanan dolandırıcılık olaylarının neredeyse dörtte biri de siber suçlarla ilgili. Hatta gerçekte bu rakamların çok daha yüksek olduğu ama kurumların tam olarak ne olup bittiğinden haberi olmadığı ya da olayları gizli tutmak istedikleri de düşünülüyor.